정책 기반 IPSec VPN을 사용하려면 VPN 터널을 통과하기 전에 IPSec으로 보호되는 트래픽을 확인하기 위해 패킷에 VPN 정책을 적용해야 합니다.

이런 유형의 VPN은 로컬 네트워크 토폴로지 및 구성이 변경될 때 변경 사항을 수용하기 위해 VPN 정책 설정도 업데이트해야 하기 때문에 정적으로 간주됩니다.

NSX-T Data Center와 함께 정책 기반 IPSec VPN을 사용하는 경우 IPSec 터널을 사용하여 NSX Edge 노드 뒤에 있는 하나 이상의 로컬 서브넷을 원격 VPN 사이트의 피어 서브넷과 연결합니다.

NAT 디바이스 뒤에 NSX Edge 노드를 배포할 수 있습니다. 이 배포에서 NAT 디바이스는 NSX Edge 노드의 VPN 주소를 인터넷에 연결하는 공용 액세스 가능 주소로 변환합니다. 원격 VPN 사이트는 이 공용 주소를 사용하여 NSX Edge 노드에 액세스합니다.

NAT 디바이스 뒤에 원격 VPN 사이트를 배치할 수도 있습니다. IPSec 터널을 설정하려면 원격 VPN 사이트의 공용 IP 주소 및 해당 ID(FQDN 또는 IP 주소)를 제공해야 합니다. 양쪽 끝점에서 VPN 주소에 대해 정적 일대일 NAT가 필요합니다.

참고: 정책 기반 IPSec VPN이 구성된 Tier-1 게이트웨이에서는 DNAT가 지원되지 않습니다.

IPSec VPN은 온-프레미스 네트워크와 클라우드 SDDC(소프트웨어 정의 데이터 센터)의 네트워크 간에 보안 통신 터널을 제공할 수 있습니다. 정책 기반 IPSec VPN의 경우, 세션에 제공된 로컬 및 피어 네트워크를 두 끝점 모두에서 대칭적으로 구성해야 합니다. 예를 들어, 클라우드 SDDC에 X, Y, Z 서브넷으로 구성된 로컬 네트워크가 있고 피어 네트워크가 A인 경우, 온 프레미스 VPN 구성에 로컬 네트워크에서는 A가, 피어 네트워크에서는 X, Y, Z가 있어야 합니다. AANY (0.0.0.0/0)로 설정된 경우도 마찬가지입니다. 예를 들어, 클라우드 SDDC 정책 기반 VPN 세션에 10.1.1.0/24로 구성된 로컬 네트워크와 0.0.0.0/0으로 구성된 피어 네트워크가 있는 경우, 온 프레미스 VPN 끝점에서 VPN 구성에는 로컬 네트워크로 0.0.0.0/0이, 피어 네트워크로 10.1.1.0/24가 있어야 합니다. 잘못 구성된 경우, IPSec VPN 터널 협상이 실패할 수 있습니다.

다음 표에 표시된 것처럼 NSX Edge 노드의 크기는 지원되는 터널의 최대 수를 결정합니다.
표 1. 지원되는 IPSec 터널 수
Edge 노드 크기 VPN 세션(정책 기반)당

IPSec 터널 수

VPN 서비스당 세션 수 VPN 서비스당 IPSec 터널 수

(세션당 터널 16개)

소형 해당 없음(POC/Lab 전용) 해당 없음(POC/Lab 전용) 해당 없음(POC/Lab 전용)
중간 128 128 2048
대형 128(소프트 한도) 256 4096
베어메탈 128(소프트 한도) 512 6000
제한 사항: 정책 기반 IPSec VPN의 기본 아키텍처로 인해 VPN 터널 이중화를 설정할 수 없습니다.

정책 기반 IPSec VPN을 구성하는 방법에 대한 내용은 IPSec VPN 서비스 추가 항목을 참조하십시오.